亚洲的材料研究机构已成为以前未知的[


](https://blog.xiaohack.org/3596.html)使用一组独特的工具的目标。

Broadcom Software旗下的赛门铁克正在以Clasiopa的绰号跟踪集群。黑客组织的起源及其隶属关系目前尚不清楚,但有迹象表明对手可能与印度有联系。

这包括在自定义后门中引用“SAPTARISHI-ATHARVAN-101”,以及使用密码“iloveindea1998^_^”作为ZIP存档。

值得注意的是,Saptarishi在梵语中意为“七圣”,指的是一群在印度教文学中受到尊敬的先知。Atharvan是一位古老的印度教牧师,据信是四吠陀经之一的合著者,这是印度教的宗教经文集。

“虽然这些细节可能表明该组织位于印度,但这些信息很可能是作为虚假标志植入的,特别是密码似乎是一个过于明显的线索,”赛门铁克在与黑客新闻分享的一份报告中说。

同样不清楚的是初始访问的确切方式,尽管怀疑网络入侵利用了对面向互联网的服务器的暴力攻击。

黑客博客入侵的一些关键标志涉及清除系统监视器(Sysmon)和事件日志以及部署多个后门,例如Atharvan和开源Lilith RAT的修改版本,以收集和泄露敏感信息。

Atharvan还能够联系硬编码的命令和控制(C&C)服务器,以检索文件并在受感染的主机上运行任意可执行文件。

“迄今为止分析的一个样本中看到的硬编码C&C地址是亚马逊AWS韩国(首尔)区域,这不是C&C基础设施的常见位置,”该公司指出。

这一披露是在网络安全公司取消另一个迄今为止未记录的威胁组织Hydrochasma的包装之后的第二天,该组织已被观察到针对亚洲的航运公司和医学实验室。